Medewerkers en studenten van de Radboud Universiteit (RU) krijgen te maken met minimaal duizenden hackpogingen per jaar. Hackers gebruiken phishing en cyberaanvallen om geld en informatie van de RU los te krijgen. De voortdurende digitale wapenwedloop dwingt de RU tot het nemen van nieuwe maatregelen. Zo krijgen studenten en medewerkers dit collegejaar te maken met extra controle wanneer ze van buiten de campus inloggen.
Dit vertellen Jeroen Beekhuis en Harrie Harings, security managers van de RU. Volgens hen is de digitale veiligheid van de basissystemen van de universiteit gewaarborgd en zijn deze systemen nog nooit gehackt. De meeste geslaagde hackpogingen op de universiteit vinden plaats wanneer medewerkers en studenten weinig aandacht besteden aan digitale veiligheid. Beekhuis en Harings roepen studenten hierom op om goed met databeveiliging om te gaan en persoonlijke gegevens op een veilige plaats te bewaren.
Honderden pogingen
De security managers maken onderscheid tussen twee manieren waarmee hackers kunnen aanvallen: cyberaanvallen en phishing. Harings: ‘Bij cyberaanvallen kijken hackers of er een fout zit in de beveiliging van een website, waardoor ze binnen het systeem van de site kunnen komen. In het geval van phishing proberen ze wachtwoorden van mailadressen te achterhalen, bijvoorbeeld om spammailtjes te sturen.’
Volgens Harings is phishing op dit moment de meest succesvolle methode voor hackers. ‘Er worden duizenden phishingmailtjes per jaar naar de mailadressen van de universiteit gestuurd.’ Uit onderzoek blijkt dat 10 tot 40 procent van de mensen wel eens op een link in een phishing mail klikt. ‘Mensen letten bijvoorbeeld vaak niet op wanneer ze terugkomen van vakantie en veel mailtjes moeten bekijken’, stelt de beveiligingsmedewerker. Cyberaanvallen, de andere methode, zijn minder effectief. Harings: ‘Vorig jaar hebben we drie- tot vierhonderd incidenten gehad waarbij servers werden aangevallen. Slagen doet het maar zelden.’
Iraanse hackers
De motieven van hackers verschillen flink, stelt Beekhuis. Zo verschenen in de media eerder artikelen over staatshackers uit Iran die universiteiten proberen te hacken. Zij zijn vooral uit op informatie uit bijvoorbeeld wetenschappelijke tijdschriften, omdat ze hier vanwege de Amerikaanse boycot moeilijk legaal aan kunnen komen. ‘Zulke hackers proberen verborgen te blijven en vervolgens vanuit het ene systeem naar het andere te komen’, stelt Beekhuis.
De meeste computerkrakers willen daarentegen dat hun werk juist wel gezien wordt. Een voorbeeld hiervan is Ransomware, een methode waarbij een systeem wordt gegijzeld. Beekhuis: ‘Als jij bijvoorbeeld een grote organisatie plat weet te leggen, kan je ze chanteren voor veel geld. Pas als je een bepaald bedrag in Bitcoins betaalt, krijg je dan je gegevens terug.’ Ook proberen hackers vaak toegang tot accounts te krijgen om zo spammailtjes te sturen. Het account van een medewerker wordt zo misbruikt om in een nacht een paar duizend mailtjes te sturen.
Wapenwedloop
Om hacks te voorkomen probeert de RU een ‘best practice’-methode aan te houden, waarbij software en anti-virusprogramma’s regelmatig worden geactualiseerd. Harings: ‘Ik zal niet zeggen dat onze beveiliging perfect is, maar we hebben het wel onder controle.’ Beekhuis spreekt van een ‘constante wapenwedloop’ tussen hackers enerzijds en beveiligingsmedewerkers anderzijds. ‘Als wij iets nieuws verzinnen, bedenken onze tegenstanders ook weer iets slims. Hackers houden natuurlijk een belang om ons te kraken.’
Als nieuwste maatregel is de RU van plan komend collegejaar ‘tweefactor-authenticatie’ in te gaan voeren. Dit betekent dat studenten en medewerkers die van buiten de campus willen inloggen op bijvoorbeeld RUQuest een code toegezonden krijgen via sms, die ze vervolgens op hun computer moeten invullen. Deze nieuwe maatregel wordt volgend jaar ingevoerd. ‘Het wordt dan een stuk moeilijker om alleen met een gebruikersnaam en wachtwoord op delen van het netwerk met gevoelige informatie te komen’, stelt Beekhuis. Hackers moeten dan daadwerkelijk op de campus zijn om zonder extra verificatie in te loggen.
Laat je niet hack maken
Beekhuis noemt aandacht van studenten en medewerkers voor digitale veiligheid net zo belangrijk als de maatregelen van de security managers. ‘Bij de intromarkt hebben wij informatie uitgedeeld aan studenten om digitale beveiliging onder de aandacht te brengen. In november vindt er een Radboudbrede campagne plaats om medewerkers en studenten te waarschuwen voor phishing’, vertelt Beekhuis. ‘Voor ons is het echt een aandachtspunt dat ook gebruikers goed met digitale veiligheid omgaan.’
Meer informatie over hoe je voorkomt dat je gehackt wordt vind je op www.laatjeniethackmaken.nl.